La identidad es el nuevo perímetro: por qué una organización moderna necesita un IdP central
Un firewall en el perímetro, quizá acompañado de un IPS/IDS, y una diferencia muy clara entre “dentro” y “fuera”. Quien estaba dentro se consideraba de confianza, y para los trabajadores remotos bastaba con una VPN que los “metiera” en la red interna.
Ese modelo tenía sentido cuando los sistemas vivían en un CPD propio, los usuarios trabajaban físicamente en la oficina y el tráfico importante se movía dentro de unos pocos segmentos de red. Pero el entorno actual ya no se parece a eso, tenemos trabajo híbrido, proveedores externos, oficinas distribuidas, SaaS, aplicaciones en la nube, APIs expuestas y dispositivos móviles que se conectan desde cualquier lugar.
En este contexto, el perímetro clásico prácticamente ha desaparecido. La unidad real de acceso ya no es la red, sino la identidad.
En la nube, especialmente, la identidad lo es casi todo, con unas credenciales válidas o un token de acceso, un usuario —o un atacante— puede moverse entre servicios, APIs y recursos sin que el perímetro de red lo detenga.
Por eso hoy tiene más sentido hablar de identidad como nuevo perímetro que de red como frontera de seguridad.
Del “estar dentro de la red” al “controlar qué identidades existen y qué pueden hacer”
En un modelo tradicional pensábamos en qué máquinas podían controlar los atacantes y desde qué puntos de la red podían moverse. Ahora la pregunta ha cambiado, el foco está en qué cuentas controlan, qué permisos tienen y qué recursos pueden alcanzar con esas identidades.
En muchas organizaciones todavía se arrastra una realidad incómoda, identidades dispersas y desordenadas. Cuentas duplicadas en varios sistemas, usuarios que conservan acceso después de irse, servicios con credenciales durmiendo en repositorios de código, cuentas locales en SaaS fuera del SSO, y un largo etcétera. Esa “jungla de identidades” es el caldo de cultivo perfecto para ataques basados en credenciales, diferentes estudios sitúan por encima del 70–80 % los incidentes en los que intervienen cuentas o contraseñas comprometidas.
En este escenario, el objetivo deja de ser sólo cerrar puertos y pasa a saber exactamente qué identidades existen (personas, servicios, equipos), entender qué permisos tienen y si son razonables, reducir el exceso de privilegios, eliminar cuentas obsoletas y accesos huérfanos y detectar usos anómalos o rutas que se saltan las políticas.
La herramienta clave para dar ese salto es un IdP (Identity Provider) centralizado, combinado con una gestión activa de la postura de seguridad de identidad.
IdP central: la pieza básica para que la identidad sea controlable
Un IdP se convierte en la fuente de verdad para la autenticación. En lugar de tener usuarios y contraseñas locales en cada sistema, las aplicaciones delegan el login en un proveedor de identidad que autentica al usuario (con MFA, factores robustos, etc.), emite tokens con la información de quién es y qué rol tiene y ofrecen acceso sólo a las aplicaciones permitidas, idealmente bajo el principio de mínimo privilegio.
Con un IdP central bien implantado, tu organización pasa de tener muchas islas de identidad a tener un único plano de control. El login se unifica (SSO), el MFA se aplica de forma transversal y las altas y bajas se gestionan en un solo sitio, lo que reduce drásticamente el riesgo de que una cuenta olvidada permanezca abierta o de que un empleado despedido conserve accesos a sistemas críticos.
El IdP actúa como pegamento entre todo los entornos y aplicaciones, y permite construir sobre él estrategias como Zero Trust, segmentación lógica por roles y auditoría centralizada.
Más allá del IdP: gestionar la “postura” de seguridad de identidad
Tener un IdP central es necesario, pero no suficiente. A medida que una organización crece, se multiplica la superficie de identidad, cuentas antiguas, grupos heredados, permisos que nadie revisa, aplicaciones que siguen permitiendo login directo con usuario y contraseña sin pasar por SSO, factores débiles, etc.
Este problema de “sprawl de identidad” ha dado lugar a un concepto cada vez más relevante, la Identity Security Posture Management (ISPM), o gestión de la postura de seguridad de identidad.
La ISPM no se limita a autenticar usuarios. Se centra en responder con datos a preguntas como:
– ¿Hay cuentas obsoletas que nunca se usan pero siguen activas?
– ¿Existen usuarios con MFA deshabilitado, o con factores débiles, en sistemas críticos?
– ¿Qué grupos tienen permisos excesivos sobre aplicaciones sensibles?
– ¿Se están utilizando rutas que se saltan el SSO (por ejemplo, enlaces directos o logins locales)?
– ¿Se han desactivado realmente todas las cuentas asociadas a un empleado que ha causado baja?
En la práctica, una buena gestión de postura de identidad revisa de forma continua el estado real de las identidades y lo compara con las políticas que la organización quiere aplicar (mínimo privilegio, MFA obligatorio, desprovisionamiento completo, etc.), resaltando desviaciones y proponiendo correcciones.
La idea es disponer de informes sobre el IdP, análisis de logs en un SIEM como Wazuh, revisiones periódicas de grupos y permisos, y automatizaciones de alta y baja de usuarios basadas en la gestión desde recursos humanos o en directorios maestros.
Zero Trust: la identidad no es una llave maestra, es un punto de decisión continuo
Muchos ataques recientes demuestran que no basta con validar una identidad una vez y dar por hecho que a partir de ahí todo es confiable. En un mundo API-first y cloud-native, sí una identidad comprometida puede pivotar de un servicio a otro sin más controles, el perímetro de red ya no frena nada.
El enfoque Zero Trust plantea justamente lo contrario: incluso después de autenticarse, el acceso debe revisarse continuamente teniendo en cuenta contexto, riesgo y necesidad real. La identidad sigue siendo central, pero deja de ser una “llave maestra permanente” y se convierte en uno de varios factores de decisión.
Aquí la combinación IdP + ISPM + controles de acceso coherentes encaja de forma natural, el IdP garantiza que quien entra es quien dice ser, con MFA y SSO, la ISPM asegura que la configuración de identidades, grupos y políticas está alineada con lo que la organización considera seguro y los sistemas de seguridad (firewalls, proxies, SIEM, EDR) aplican reglas adicionales según el contexto
Así, la identidad es el nuevo perímetro, pero un perímetro dinámico, evaluado y monitorizado, no una simple lista de usuarios y contraseñas.
Conclusión
En un entorno cloud, distribuido y lleno de APIs, la red ha dejado de ser la frontera fiable que era. La pregunta clave ya no es “¿desde dónde se conecta alguien?”, sino “¿quién es realmente, qué puede hacer y quién lo autorizó?”.
La identidad se ha convertido en el nuevo perímetro, y un IdP central, acompañado de una gestión activa de la postura de seguridad de identidad, es el cimiento para cualquier estrategia moderna de ciberseguridad, Zero Trust y cumplimiento normativo.
Referencias:
· Verizon – Data Breach Investigations Report